Al menos 16 empresas de Rusia fueron atacadas el año pasado

Positive Technologies Expert Security Center (PT ESC) registró una nueva ola de ataques del grupo de hackeo Space Pirates¹. Los delincuentes, conocidos por sus actividades a gran escala, desarrollaron nuevas herramientas y aumentaron sus intentos de ataques al sector público ruso, las industrias aeronáutica y aeroespacial, y las instituciones educativas.

Según PT ESC, Space Pirates atacó con éxito al menos 16 empresas de Rusia a lo largo de 2022. Los principales objetivos de los delincuentes son el espionaje y el robo de información confidencial. Sin embargo, el grupo amplió su alcance de interés para incluir otros objetivos. Entre las nuevas víctimas, los expertos destacan a empresas gubernamentales, educativas, de seguridad, de aviación, aeroespaciales, agrícolas, militares y de combustibles y energía, y empresas de seguridad de la información. Un ministerio en Serbia también sufrió un ataque de Space Pirates.

Denis Kuvshinov, director de Análisis de Amenazas de Positive Technologies Expert Security Center, comentó: “Durante el año pasado, veíamos con cierta frecuencia actividad de Space Pirates en nuestras investigaciones de ciberataques. Las tácticas del grupo no cambiaron mucho, pero los hackers desarrollaron nuevas herramientas que utilizan técnicas inusuales (como Voidoor) y mejoraron las anteriores. Encontramos un escáner Acunetix en uno de los servidores C2 de Space Pirates: esto da cuenta de un posible vector de ataque a través de la explotación de vulnerabilidades que no habíamos encontrado antes. Para proteger su empresa contra las amenazas que supone Space Pirates, recomendamos tomar medidas proactivas, como usar analizadores de tráfico y entornos de pruebas para identificar incluso malware complejo”.

Positive Technologies registró por primera vez actividad de Space Pirates a fines de 2019, cuando una empresa aeroespacial rusa recibió un correo electrónico de phishing que contenía un malware previamente desconocido. Durante los dos años siguientes, nuestros especialistas identificaron cuatro empresas adicionales vulneradas (dos de propiedad estatal) que habían sido el blanco de los delincuentes. PT ESC continúa supervisando y respondiendo ante las amenazas, incluidas las que supone Space Pirates.

Los productos de Positive Technologies como el sistema de análisis conductual del tráfico de PT Network Attack Discovery (PT NAD) y PT Sandbox pueden detectar actividades maliciosas de Space Pirates, prevenir ataques e identificar hosts infectados en la red. Las versiones actualizadas de estas herramientas ya contienen la experiencia necesaria. Por ejemplo, PT Sandbox detecta malware que utiliza Space Pirates e identifica kits de herramientas de otros hackers registrados durante las investigaciones. Además, PT Sandbox detecta malware mediante una combinación de análisis conductual, reglas YARA y de red de PT ESC, y algoritmos de aprendizaje automático.

PT NAD utiliza listas de reputación con nombres de dominio y direcciones IP pertenecientes a los ciberdelincuentes al realizar análisis. Las reglas patentadas de detección de amenazas permiten detectar actividad de red de puertas traseras y malware en dispositivos infectados dentro de la red protegida.

1. Muchos indicios señalan que el desarrollador de estas herramientas tiene origen chino. De todos modos, no sabemos si el desarrollador forma parte del grupo. Sin embargo, el grupo utiliza técnicas propias de grupos chinos (por ejemplo, APT41), como servidores de alojamiento en Choopa y archivos específicos para el secuestro de bibliotecas de enlaces dinámicos (DLL).